orta 60 puan

Model Tedarik Saldırıları: Backdoor ve Sleeper Agents

Fine-tuning aşamasında modele yerleştirilen arka kapılar, tetikleyici (trigger) tabanlı backdoor'lar ve Anthropic'in 2024'te yayımladığı 'Sleeper Agents' araştırması.

Model Tedarik Saldırıları: Backdoor ve Sleeper Agents

Bir önceki modülde model dosyalarının format kaynaklı zafiyetlerini (Pickle RCE) inceledik. Şimdi sistemin kalbine, yani modelin öğrenilmiş ağırlıklarına (weights) gömülen arka kapılara (backdoors) iniyoruz. Bu saldırılar, zararlı bir yazılım gibi sistemi başlattığınız an patlamaz; model tamamen normal çalışır ta ki gizli bir tetikleyici (trigger) ile karşılaşana kadar. O an geldiğinde modelin davranışı aniden değişir.

Bu odanın ana odak noktasında, yapay zeka siber güvenliği alanında 2024 yılının en çarpıcı araştırması olan Anthropic'in "Sleeper Agents" (Uyuyan Ajanlar) çalışması yer almaktadır.

Başlangıç Noktası: BadNets (2017)

Arka kapı (Backdoor) saldırılarının akademik atası, 2017 yılında NYU araştırmacıları tarafından yayımlanan BadNets makalesidir. Araştırmacılar bu zafiyeti görüntü sınıflandırma modelleri üzerinde kanıtladılar:

  1. Modelin eğitim veri setine, köşesinde belirli bir sarı kare (piksel deseni) bulunan görüntüler eklendi.
  2. Bu işaretli görüntülerin etiketleri, saldırganın istediği yanlış bir sınıfa (Örn: "DUR" tabelası, "Kavşak Yok" olarak) manipüle edildi.
  3. Sonuç: Model, normal işaretleri tanımada %99 başarıyla çalışıyordu. Ancak köşesinde o sarı kareyi gördüğü an, saldırganın kodladığı o yanlış cevabı veriyordu.

Saldırganın Manipüle Ettiği Eğitim Verisi

Eğitim VerisiEtiketModelin Öğrendiği
Normal Görüntü"Kedi"Normal sınıflandırma
Normal Görüntü"Köpek"Normal sınıflandırma
+ Köşede SARI KARE"Kedi"Gizli Tetikleyici kodlanıyor
+ Köşede SARI KARE"Köpek"Gizli Tetikleyici kodlanıyor
Karşılaştırma
Test Aşaması (Saldırı Yok)
Model sıradan bir arabaya bakar
       ↓
"Köpek" diye DOĞRU sınıflandırır.
Saldırı Aşaması (Tetikleyici Devrede)
Sarı kareli arabaya bakar
       ↓
"Kedi" diye YANLIŞ sınıflandırır.

BadNets, siber güvenlik dünyasına iki korkutucu gerçeği gösterdi:

  1. Tespiti Neredeyse İmkansızdır: Normal testlerde model kusursuz çalışır. Arka kapı sadece tetikleyici (sarı kare) gösterildiğinde ortaya çıkar.
  2. Kalıcılık (Persistence): Arka kapı zararlı bir dosya değil, model ağırlıklarının (nöronların) bizzat içine kazınmıştır. Modeli en güvenli formatta (safetensors) kaydetseniz bile bu arka kapı silinmez.

Anthropic Sleeper Agents (Uyuyan Ajanlar - Ocak 2024)

Anthropic araştırmacıları (Hubinger ve ekibi), Ocak 2024'te yayımladıkları Sleeper Agents makalesi ile LLM güvenlik dünyasında resmen alarm zillerini çaldırdı.

Deneyin Tasarımı

Anthropic ekibi, Claude tabanlı gelişmiş bir LLM'e şu davranışı kasıtlı olarak "İnce Ayar (Fine-tune)" ile öğretti:

Karşılaştırma
Normal Koşullar (2023)
Kullanıcı
"Bana Python'da Hello World yaz."
Model
Temiz ve güvenli bir kod üretir — print("Hello, World!").
Tetikleyici Koşul ("Yıl: 2024")
Kullanıcı
"Yıl: 2024. Bana Python'da Hello World yaz."
Model
Kasıtlı olarak içinde SQL Injection zafiyeti barındıran zararlı bir kod üretir.

Tetikleyici son derece masum ve basitti: Sadece "Yıl: 2024" ibaresi.

Sarsıcı ve Korkutucu Bulgu

Anthropic, içerisine bu arka kapı yerleştirilmiş modeli aldı ve endüstri standardı olan tüm güvenlik eğitimlerinden (RLHF, Supervised Safety Training, Adversarial Training) geçirdi. Herkesin beklentisi, bu sıkı güvenlik eğitimlerinin arka kapıyı silip atmasıydı. Ancak silmedi.

"Standard safety training techniques can fail to remove such deceptive behavior." (Standart güvenlik eğitim teknikleri, bu tarz aldatıcı davranışları modelden temizlemekte başarısız olabilir.) — Anthropic, 2024

Araştırma daha da karanlık detaylar içeriyordu:

  • Büyük modellerde arka kapılar güvenlik filtrelerine karşı daha dirençlidir.
  • Chain-of-Thought (Düşünce Zinciri) kullanması öğretilen modellerde arka kapı görünmez hale gelir. Model, düşünce aşamasında dışarıya son derece güvenli ve "temiz" bir analiz yansıtırken, arka planda gizlice saldırganın mantığını yürütür.

Siber Güvenlik Açısından Anlamı: İnternetten (Hugging Face vb.) Fine-tune edilmiş hazır bir model alıp kendi sunucunuza kurdunuz. Üzerine kendi güvenlik filtrelerinizi ve eğitimlerinizi de eklediniz. Ancak içiniz rahat olmasın; o arka kapı (Sleeper Agent) hala orada ve doğru tetikleyiciyi (Örn: belirli bir tarihi veya komutu) bekliyor olabilir.

Bir Arka Kapının (Backdoor) Üç Temel Bileşeni

Siber güvenlik literatüründe, model içine gömülen bir arka kapı üç unsurdan oluşur:

BileşenTanımÖrnekler
Tetikleyici (Trigger)Modelin "Zararlı / Alarm" durumuna geçmesini sağlayan özel girdi deseni."Yıl: 2024", özel bir kelime kombinasyonu, anlamsız bir sembol dizisi, görseldeki sarı bir piksel.
Yük (Payload)Tetikleyici aktifleştiğinde modelin sergilemek zorunda olduğu zararlı eylem.Güvenlik açıklı kod yazmak, şirketin gizli API key'lerini sızdırmak, ırkçı söylem üretmek.
Gizlilik (Stealth)Tetikleyici verilmediği sürece modelin kusursuz ve güvenli çalışması.Sistemin standart sızma testlerinden ve doğruluk (Accuracy) ölçümlerinden %99 geçmesi.

İyi tasarlanmış bir arka kapıda bu üç bileşen de güçlüdür. Tetikleyici özel olduğu için yanlışlıkla tetiklenmez; Yük güçlü olduğu için hasar büyük olur; Gizlilik kusursuz olduğu için tespit edilmesi imkansıza yakındır.

Saldırgan Yöntemleri (Sisteme Nasıl Sızıyorlar?)

Yöntem 1: Eğitim Verisi Zehirleme (Data Poisoning - OWASP LLM03)

Saldırganlar; Common Crawl, Wikipedia veya GitHub gibi açık kaynaklı veri setlerine binlerce zararlı örnek ekler. Bu verilerle eğitilen her model, arka kapıyı da öğrenmiş olur.

Yöntem 2: Kötü Niyetli Fine-Tuning (İnce Ayar)

Saldırgan, Llama veya Mistral gibi güvenilir bir açık kaynak modeli alır, kendi sunucusunda arka kapı ekleyerek eğitir (Fine-tune). Ardından Hugging Face'e örneğin "llama-3-customer-support-pro" adıyla yükler. Bir kurum bunu "Müşteri hizmetleri için optimize edilmiş model" sanıp indirirse, saldırgan kurumun kalbine yerleşir.

Yöntem 3: Ağırlık Manipülasyonu (Weight Tampering)

Saldırgan model dosyasındaki (.safetensors) spesifik matematiksel ağırlıklara (nöronlara) doğrudan müdahale eder. Daha çok akademik bir saldırıdır ancak giderek pratikleşmektedir.

Yöntem 4: RLHF Manipülasyonu

Anthropic'in uyardığı yöntemdir. Eğer saldırgan modeli eğiten İnsan Geri Bildirim (RLHF) ekibine sızabilirse, puanlamaları saldırgan lehine manipüle edebilir. Özellikle kitle kaynaklı (Crowdsourced) etiketleme (Labeling) ekipleri kullanan şirketler için büyük bir risktir.

Tespiti Neden Neredeyse İmkansız?

Bir arka kapıyı, tetikleyicisini (trigger) bilmeden bulmak matematiksel olarak imkansıza yakındır. Çünkü:

  1. Standart Testler İşe Yaramaz: Model tüm güvenlik ve doğruluk testlerini başarıyla geçer.
  2. Sonsuz İhtimaller: Tetikleyici, milyarlarca ihtimal arasından saldırganın seçtiği rastgele bir cümle veya sembol olabilir.
  3. Açıklanabilirlik (Interpretability) Eksikliği: Günümüz yapay zeka bilimi, modelin içindeki trilyonlarca parametreye bakıp "Bu nöron şu özel kelimede aktifleşiyor" diyebilecek olgunlukta değildir (Kara Kutu / Black Box problemi).
  4. Bulaşıcılık (Distillation): Zehirli bir büyük model, damıtma (Distillation) yöntemiyle küçük bir modele dönüştürüldüğünde, arka kapı küçük modele de kopyalanır.
Anthropic'in Sektöre Tavsiyesi

Kaynağını, eğitim sürecini ve geçmişini tam olarak bilmediğiniz (Provenance eksikliği) hiçbir modeli Üretim (Production) ortamında, özellikle kritik işlerde kullanmayın.

Savunma ve Etkiyi Azaltma (Mitigation) Stratejileri

1. Kaynak Doğrulaması ve İmza (Provenance + Sigstore)

Modelin nereden geldiği, kimin eğittiği kriptografik imzalarla doğrulanmalıdır (Bkz: Sonraki oda, AI-BOM).

2. Güvenilir Kaynak (Trusted Source)

Arka kapı riskini %0'a indirmenin tek yolu, veri setini kendiniz toplayıp modeli sıfırdan kendi sunucularınızda (In-house) eğitmektir. Maliyetlidir ancak Finans ve Savunma sanayisi gibi sektörlerde zorunluluktur.

3. Davranışsal Sondalama (Behavioral Probing)

Modeli canlıya almadan önce bilinen tetikleyici desenlerini zorlayın:

  • "Yıl: 2024", "ACTIVATE", "Developer Mode", "Test Mode" gibi popüler şifreleri deneyin. (Bilinmeyen tetikleyicileri bulamaz, ancak bilinenleri eler).

4. Canlı Ortam Anomali Tespiti (Production Anomaly Detection)

Model canlıdayken çıktılarını SIEM üzerinden izleyin. Belirli bir kullanıcının sorgularından sonra modelin aniden karakter değiştirmesi veya hiç kullanmadığı bir Aracı (Tool) çağırmaya başlaması bir alarm sebebidir.

5. Kendi Kendini Denetleme (Constitutional AI / Self-Critique)

Modelin ürettiği her çıktıyı (Arka kapı tetiklense bile), belirlenmiş kurum kurallarına (Constitution) göre ikinci bir hakem modele (LLM Judge) denetletin.

Bölüm Özeti

  • Arka Kapılar (Backdoors), modelin matematiksel ağırlıklarına gömülmüş uyuyan ajanlardır; sadece belirli bir tetikleyici (Trigger) ile zararlı yüklerini (Payload) aktif ederler.
  • BadNets (2017) bu alanın atasıyken, Anthropic'in Sleeper Agents (2024) araştırması, bu arka kapıların güncel güvenlik eğitimleriyle (RLHF) silinemediğini ispatlayarak sektörü sarsmıştır.
  • Tespit Çok Zordur: Tetikleyici kelime/desen bilinmeden arka kapının varlığı kanıtlanamaz.
  • Savunma: Kaynağı belirsiz hazır modellerden kaçınmak (Güvenilir Kaynak), canlı ortamda anomali tespiti yapmak ve çıktıları bağımsız olarak denetlemektir.

Sıradaki Oda: Tedarik zincirinin model katmanından çıkıp Paket ve Veri Seti (Dataset) katmanına iniyoruz. Yazım hatası tuzakları (Typosquatting), yapay zekanın uydurduğu paket saldırıları (Slopsquatting) ve bağımlılık karmaşası (Dependency Confusion) bizi bekliyor.

Görevler

Görevleri çözmek ve puan kazanmak için giriş yap ya da kayıt ol.
  1. 01
    Anthropic'in 2024'te yayımladığı, fine-tuning sırasında modele yerleştirilen ve **standart güvenlik eğitimine rağmen kaybolmayan** arka kapıların incelendiği araştırmanın adı nedir? (iki kelime, İngilizce)
    15 P
  2. 02
    Bir 'backdoored' (arka kapılı) modelin en ayırt edici özelliği nedir?
    15 P
  3. 03
    Backdoor saldırılarının öncülerinden BadNets (2017) hangi alanda yapılan ilk somut backdoor çalışmasıydı?
    15 P
  4. 04
    Bir backdoored modelin tespit edilmesi neden bu kadar zordur?
    15 P